Resultados de la búsqueda :
×
Inicio de sesión único en el sitio de intranet utilizando el protocolo Kerberos que le proporciona un mecanismo de autenticación seguro para todos los principales sistemas operativos como Windows, Ubuntu, CentOS, RHEL, etc.
Kerberos permite la autenticación sin contraseña para el inicio de sesión automático dentro de la red del dominio. El protocolo Kerberos agiliza el proceso de inicio de sesión al eliminar la necesidad de contraseñas y mejorar la seguridad dentro del entorno de red.
Proteja su sitio web o aplicación restringiendo el acceso a sus páginas desde redes externas. Asegúrese de que solo los usuarios autorizados dentro de la red puedan acceder al contenido, mejorando la seguridad y protegiendo contra la entrada no autorizada de fuentes externas.
Kerberos es un protocolo de autenticación basado en tickets que utiliza criptografía de clave compartida para la autenticación e involucra un Centro de distribución de claves (KDC) de terceros. Utiliza una serie de tickets, incluidos Ticket Granting Tickets (TGT) y tickets de servicio, para verificar la identidad de los usuarios y servicios.
En Kerberos, no se envían contraseñas reales, sino que se utilizan tickets cifrados y claves de sesión para una autenticación segura.
NTLM funciona con un mecanismo de desafío/respuesta que implica que el servidor envíe un desafío aleatorio al cliente. El cliente responde con un valor hash del desafío, incorporando la contraseña del usuario. Esta respuesta hash se envía de vuelta al servidor, que la valida.
En NTLM, las respuestas de contraseña con hash se transmiten entre el cliente y el servidor durante el mecanismo de desafío-respuesta.
Si bien ambos protocolos tienen como objetivo garantizar un acceso seguro, el protocolo Kerberos generalmente se considera más seguro, ya que proporciona un cifrado más sólido y una mayor resistencia contra diversos ataques.
Kerberos utiliza criptografía sólida para autenticar a los usuarios, garantizando un acceso seguro a los sistemas y recursos.
El protocolo Kerberos verifica la identidad tanto del cliente como del servidor, garantizando que la comunicación sea segura y evitando ataques de suplantación.
Kerberos es un protocolo SSO ampliamente adoptado, compatible con varios sistemas operativos y aplicaciones.
Hace algún tiempo compré el complemento Active Directory Integration/LDA y también utilicé otros complementos para la integración de mi sistema de registro de usuarios. Había cierta incompatibilidad y mi sistema de registro de usuarios no era completamente compatible. Un miembro del equipo me ayudó a resolver todas y cada una de las incompatibilidades. Trabajó para mí personalizando el complemento hasta que fue totalmente compatible. Nunca ha trabajado con un equipo de soporte tan eficiente y dedicado. Trabajo con muchos complementos pagos y ningún equipo de soporte lo hizo tan bien. Recomiendo este complemento 100%
- agonzalez12MiniOrange hizo un gran trabajo con este complemento. Nos dio exactamente lo que buscábamos con la autenticación LDAPS. El soporte fue excelente al ayudarnos a implementar esto. ¡Muy contento!
- brianlaird
Creo que fue bastante fácil implementar LDAP y también tiene muchas opciones para recuperar información de LDAP como correo electrónico, nombre, teléfono... por lo que es más fácil obtener toda esta información en sus tablas. La gente de soporte también es muy amable, miniorange me ayudó con mi configuración que era bastante diferente. Recomendaré este complemento.
-estoespersonal
Después de varios intentos de resolver algunos problemas con los complementos por mi cuenta, el excelente soporte vino a ayudarme una vez más. Realmente puedo sugerir y recomendar este complemento para todas sus necesidades. El soporte estará ahí en cada paso del camino si es necesario.
- markotomic93
Estoy bastante impresionado por el muy buen nivel de soporte que no es tan frecuente hoy en día. El complemento es de nivel profesional y proporciona todas las funciones anunciadas, ¡y más!
-fabienandreo
Durante mucho tiempo, he estado buscando complementos para mis sitios compartidos alojados de WordPress y probé n números de complementos, pero ninguno de ellos cumplió con mis requisitos como este complemento de Miniorange, los gráficos del complemento son fantásticos y muy fáciles de usar. Tenía un requisito de mapeo de atributos y LDAPS y con este complemento funciona muy bien. Y el soporte es impecable. Envié una solicitud para una demostración y recibí una respuesta en cuestión de horas. Sin duda lo recomendaría.
- mateoowen92
Utilicé el complemento LDAP miniOrange para facilitar el inicio de sesión único entre el directorio activo y nuestro sitio de WordPress alojado en el alojamiento compartido Flywheel. Tienen una solución increíble para lograr el SSO en sistemas unidos a un dominio. Los chicos de miniOrange fueron muy receptivos y serviciales. Debo elogiar al equipo de soporte de miniorange por su respuesta oportuna para resolver mis problemas.
-bennettfoddy
Estaremos encantados de ayudarle, no dude en contactarnos.
¿Tiene preguntas o necesita ayuda con la configuración de Kerberos? Te tenemos cubierto.
¿Por qué recibo un mensaje para ingresar mis credenciales?
Esto sucede cuando se utiliza el protocolo NTLM para la autenticación en lugar de Kerberos.
Esto puede ocurrir por múltiples razones:
¿Puedo utilizar un usuario LDAP existente como principal del servicio Kerberos?
Sí, puede utilizar un usuario LDAP existente como entidad principal de servicio de Kerberos. Sin embargo, este usuario debe tener una contraseña configurada para que nunca caduque. Asegúrese de que ningún usuario utilice esta cuenta, ya que la aplicación utiliza esta cuenta como principal del servicio Kerberos y la tabla de claves correspondiente para obtener un ticket de Kerberos.
¿Qué es un "cliente Kerberos", un "servidor Kerberos" y un "servidor de aplicaciones"?
Toda la autenticación en Kerberos ocurre entre clientes y servidores. Por lo tanto, cualquier entidad que reciba un ticket de servicio para un servicio Kerberos se denomina "cliente Kerberos" en la terminología de Kerberos. Los usuarios suelen considerarse clientes, pero cualquier principal puede serlo.
El Centro de distribución de claves, o KDC para abreviar, suele denominarse "servidor Kerberos". El KDC implementa tanto el Servicio de autenticación (AS) como el Servicio de concesión de billetes (TGS). Cada contraseña conectada a cada principal se almacena en el KDC. Por esta razón, es esencial que el KDC sea lo más seguro posible.
La frase "servidor de aplicaciones" a menudo se refiere al software Kerberizado que los clientes utilizan para interactuar mientras se autentican mediante tickets Kerberos. Un ejemplo de servidor de aplicaciones es el demonio telnet Kerberos.
¿Cómo se nombran los reinos? ¿Realmente tienen que estar en mayúsculas?
En teoría, el nombre del reino es arbitrario. Puedes nombrar tus reinos como quieras.
En la práctica, un dominio Kerberos se nombra poniendo en mayúsculas el nombre de dominio DNS asociado con los hosts en el dominio que se va a nombrar. Por ejemplo, si todos sus anfitriones están en el "ejemplo.com" dominio, podrías llamar a tu reino Kerberos como "EJEMPLO.COM".
Si desea tener dos dominios Kerberos en el dominio DNS "miniorange.com" para Recursos Humanos y Ventas, puede crear los dominios Kerberos como "HR.MINIORANGE.COM" y "VENTAS.MINIORANGE.COM"
La convención de usar mayúsculas para los nombres de dominios es distinguir fácilmente entre nombres de dominio DNS (que en realidad no distinguen entre mayúsculas y minúsculas) y dominios kerberos.
Las revisiones recientes del estándar Kerberos han especificado que se prefieren los nombres de dominio en mayúsculas y que los nombres de dominio en minúsculas han quedado obsoletos.
¿Qué programas/archivos deben ir en cada servidor de aplicaciones?
En cada servidor de aplicaciones, deberá colocar:
La parte más importante es la clave de cifrado; debe enviarse al host del servidor de aplicaciones de forma segura. Por lo general, el principal del host (host/example.com@REALM) usa esta clave. Cabe señalar que el cliente de administración del MIT, kadmin, cifra cada transferencia entre él y el servidor de administración, lo que hace que sea seguro usar ktadd desde kadmin siempre y cuando no transmita su contraseña de administrador a través de la red en texto claro.
Si desea tener inicios de sesión de usuario interactivos en sus servidores de aplicaciones, probablemente también desee instalar los archivos binarios del cliente Kerberos en cada uno.
¿Qué es GSSAPI?
GSSAPI es un acrónimo; significa Interfaz de programación de aplicaciones de servicios de seguridad genéricos.
La autenticación cliente-servidor se maneja mediante GSSAPI, una API de propósito general. El motivo es que cada sistema de seguridad tiene su propia API y, como las API de seguridad difieren tanto, se necesita mucho trabajo para agregar varios sistemas de seguridad a las aplicaciones. Los proveedores de aplicaciones podrían escribir en la API genérica y sería compatible con una amplia gama de sistemas de seguridad si existiera una API común.
¿Qué es la autenticación entre dominios?
Cualquier entidad principal de Kerberos puede establecer una conexión de autenticación con otra entidad principal dentro del mismo ámbito de Kerberos. Sin embargo, también se puede configurar un dominio Kerberos para permitir que los principales de diferentes dominios se autentiquen entre sí. Esto se llama autenticación entre dominios.
Esto se logra haciendo que los KDC en los dos reinos compartan un secreto único entre reinos, que se utiliza para validar la identificación de los directores cuando cruzan la frontera del reino.
¿Cómo cambio la clave maestra?
En Kerberos 5 no se puede cambiar la clave maestra.
Tiene la opción de modificar la clave maestra usando kadmin. La clave maestra, sin embargo, se utiliza para cifrar cada entrada de la base de datos y lo más probable es que también se guarde en un archivo oculto (dependiendo de su sitio). El archivo oculto o todos los registros de la base de datos no se actualizarán si la clave maestra se cambia usando kadmin.
Para cambiar la clave maestra, Kerberos 4 ofreció un comando y llevó a cabo las acciones necesarias. Para Kerberos 5, nadie ha implementado (todavía) esta capacidad.
¿Necesitas ayuda? ¡Estamos aquí!
